Bekymret for kildevernet

Mediebransjen er bekymret for kildevernet, etter at hackere brøt seg inn i Aftonbladets mailserver og offentliggjorde ansattes e-poster.

Publisert   Sist oppdatert

– Hackere ville ikke lykkes dersom de forsøkte samme metode hos oss. Men datasikkerheten er uansett veldig sårbar, sier lederen av VGs dataavdeling, Anders Berg, til Journalisten.

Ifølge tidsskriftet TechWorld Säkerhet var det den svenske hackergruppen «Vuxna Förbannada Hackere» som onsdag brøt seg inn i Aftonbladets e-postsystem. Tidsskriftet skriver at hackerne, som også skal ha kommet seg inn i TV 3s servere på nyttårsaften, offentliggjorde passordene til Aftonbladets toppsjef, it-sjef, redaktører og journalister.

Passordene og adressene ble lagt ut på en offentlig tilgjengelig nettside, noe som resulterte i at en rekke personer gikk inn og leste og skrev epost fra de ansattes kontoer.

Full tilgang

– Vi gikk løs på mailserveren og etter to-tre dager var vi inne. Vi hadde full tilgang til hele mailserveren og kunne lese og sende hvilken som helst epost vi ville, skriver gruppen, ifølge TechWorld Säkerhet.

Aftonbladet har politianmeldt hackerangrepet. Svenske medier, og åpenbart også norske, er naturlig nok bekymret over hvilke konsekvenser slike angrep kan få for kildevernet.

Ifølge Sveriges Radios P3 Nyheter hadde de Aftonbladet-ansatte som ble utsatt for hackerne samme passord til innloggingen på avisas interne system og til sin egen e-posttjeneste. Det var internsystemet som ble angrepet, og hackerne forsøkte deretter å undersøke om journalistene brukte samme passord til e-postsystemet sitt.

– Kunne ikke skjedd i VG

– Ut fra det som har kommet fram i mediene om hackerangrepet i Aftonbladet, er min konklusjon at det ikke er mulig å bruke samme metode for å bryte seg inn i VGs datasystem. Men ingen datasystemer er helt innbruddssikre. Sikkerheten avhenger ikke minst av at de ansatte passer godt på sine brukernavn og passord, sier Anders Berg.

Han forstår det slik at Aftonbladet hadde en samlet, ukryptert passordliste lagret på sitt intranett, slik at passordene kunne sjekkes opp mot informasjonen de ansatte bruker når de logger seg på.

Varierende løsninger

– Hensikten har tydeligvis vært å forenkle innloggingen, slik at de ansatte sikres fulle rettigheter og tilgang og slipper å bruke forskjellige brukernavn og passord til ulike funksjoner i datasystemet. For eksempel til e-posttjenesten. I VG bruker vi en annen policy for passord. Den tekniske infrastrukturen varierer fra bedrift til bedrift. Enkelte har også tatt i bruk såkalt trefaseautorisering, for eksempel engangskoder eller fingeravtrykk i tillegg til brukernavn og passord.

– Hva bør deres ansatte være oppmerksom på for å ivareta datasikkerheten?

– De må sørge for å holde brukernavn og passord utilgjengelig for andre. Vi krypterer for øvrig sensitiv informasjon som legges inn på bærbare pc-er, for å unngå at utenforstående får tilgang til den hvis en maskin skulle bli stjålet, forteller Berg.

Redd for kildevernet

Per Hellqvist i Symantec, som tilbyr systemer for pc-sikkerhet, betegner angrepet på Aftonbladet som meget alvorlig for kildevernet.

– Forestill deg at noen har tipset om en MC-gjeng, for eksempel. De risikerer å komme svært ille ut. Når e-postkommunikasjon med medier lekker ut, så finnes det også en fare for at folks vilje til å tipse mediene undermineres, sier Hellquist til TechWorld Säkerhet.

Norsk Presseforbund mener at saken også er en vekker for norske medier.

– Dette er meget alvorlig. Omfattende kildevern er en forutsetning for en fri presse. Tvil om kildevernet kan dermed bli et problem for demokratiet, sier generalsekretær Per Edgar Kokkvold til Computerworld, som også har intervjuet it-ansvarlige i Dagbladet og NRK om sikkerhet og passordrutiner.

– Bruk ulike passord

Jonas Öberg ved det svenske IT-Universitetet mener problemet kunne vært unngått dersom medarbeidere i mediebedrifter bruker to ulike passord, ett til bedriftens internsystem og et annet til egen e-postkatalog. Öberg sier til P3 Nyheter:

– Noe av det viktigste for å redusere skadene når et passord lekker ut, er å ha ulike passord for de ulike tjenestene man har.